S3+Lambda+Cloudfront权限模型设置问题

1. 首先，在S3中创建一个Bucket。
2. 在此Bucket中添加所需的文件和文件夹。
3. 创建一个Lambda函数，该函数将被用于S3事件通知。
4. 授予Lambda函数S3访问权限。使用以下IAM策略作为参考：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::{Bucket Name}/*" } ] }

其中{Bucket Name}是您的Bucket名称。 5. 配置Lambda以监视S3并发出事件通知。该通知可以使用SNS（Simple Notification Service）进行处理。 6. 授予Lambda函数SNS访问权限。使用以下IAM策略作为参考：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:{region}:{account-id}:{topic-name}" } ] }

其中{region}，{account-id}和{topic-name}是您的AWS信息和SNS主题名称。 7. 创建一个CloudFront分发。 8. 将Lambda函数绑定到此分发的事件通知中。 9. 配置CloudFront以使用S3作为源，并具有适当的线索化行为。

参考代码：

// 示例Lambda函数 exports.handler = async (event) => { console.log('S3 Object created:', event.Records[0].s3.object.key); // 发布SNS消息 };

// 示例SNS IAM策略 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": "arn:aws:sns:{region}:{account-id}:{topic-name}" } ] }

// 示例CloudFront事件通知 { "LambdaFunctionARN": "arn:aws:lambda:us-west-2:123456789012:function:MyFunction", "EventType": "origin-request", "IncludeBody": true }